Il garante della privacy multa le ulss friulane per l'elenco dei "fragili"

UDINE - Un algoritmo considerato un po' troppo spione, per così dire, è costato una sanzione di 55mila euro a ciascuna delle tre Aziende sanitarie del Friuli Venezia Giulia, che, a stretto giro, nei giorni scorsi hanno già impugnato il provvedimento in Tribunale. Il Garante per la Privacy ha sanzionato AsuFc, AsFo e Asugi (ordinando di procedere alla cancellazione dei dati elaborati) perché, attraverso l'uso di algoritmi, avrebbero classificato circa 40mila assistiti (di cui oltre 17mila della sola azienda udinese e 9mila di quella pordenonese) in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19. Un modo per realizzare dei profili sanitari di rischio, utili per mettere in atto degli interventi preventivi. L'Autorità, dopo l'istruttoria, ha ritenuto che i dati degli assistiti siano stati trattati «in assenza di un'idonea base normativa, senza fornire agli interessati tutte le informazioni necessarie e senza aver effettuato preliminarmente la valutazione d'impatto» prevista dal regolamento europeo.

I MEDICI DI BASE

Tutto è partito dalla segnalazione di un medico friulano al Garante. Sotto la lente è finita la delibera della giunta regionale Fvg del 20 novembre 2020 (e l'allegato accordo con i medici di base per il 2020-2021 anche per la disciplina delle attività connesse all'emergenza epidemiologica), che indicava ai dottori di famiglia, fra gli obiettivi da centrare per la corresponsione di parte del compenso variabile, anche la validazione di una lista di fragili preventivamente individuati grazie a un algoritmo come in situazione di complessità e comorbidità ad alto rischio di complicanze maggiori per infezioni da Covid-19. In sostanza, la lista di fragili pesata dall'algoritmo veniva recapitata ai medici, che poi dovevano scremare sulla base delle loro conoscenze i veri fragili. Per un medico con circa 1.500 assistiti, l'elenco finale poteva arrivare a 40-50 ritenuti veramente fragili: di questi almeno il 75% andava invitato alla vaccinazione antinfluenzale e antipneumococcica. I fragili, poi, per centrare un altro obiettivo incentivante, andavano monitorati ogni tre mesi compilando delle schede, con particolare riguardo al Covid.
Uno dei temi chiave è quello del consenso degli interessati al trattamento dei dati personali per stratificazione statistica. Interpellata dal garante, AsuFc ha dichiarato che «chiedere il consenso ad una intera popolazione avrebbe impedito il diritto alla cura e alla salvezza della vita ai pazienti in cura» e ha precisato di non aver ritenuto «di dover effettuare una valutazione di impatto» «non ravvisandosi un rischio elevato per i diritti e le libertà delle persone fisiche», soprattutto visto il quadro emergenziale. Una posizione non accettata dal Garante, secondo cui la normativa d'urgenza per la pandemia «non ha derogato le disposizioni in materia di protezione dei dati personali relative alla valutazione di impatto». Le Aziende, come Asufc, hanno precisato che «l'algoritmo utilizzato viene fornito a Insiel da Arcs e prevede che possano essere estratti solo i dati di coloro che abbiano prestato il consenso alla consultazione del fascicolo elettronico da parte del medico di medicina generale». Ma il Garante ha ricordato che questo consenso «non può considerarsi un idoneo presupposto di liceità» anche perché le finalità del Fse non comprendono la medicina d'iniziativa. Il fatto che Insiel abbia estratto dai database delle Aziende i dati sulla salute degli assistiti senza un'espressa autorizzazione del titolare dando esecuzione a una delibera regionale, per il Garante non esimeva le Aziende dal valutare la legittimità della richiesta. Per il Garante la profilazione dell'utente, che determina un trattamento automatizzato di dati personali per prevedere l'eventuale correlazione con altri elementi di rischio clinico (in questo caso il Covid) «può essere effettuata solo nel rispetto di requisiti specifici e garanzie adeguate».